Recherche

Baromètre CESIN 2025 : ces signaux positifs que renvoient les RSSI

Divers indicateurs figurant dans la dernière vague du baromètre CESIN suggèrent une forme de confiance de la part des RSSI.

Publié par Clément Bohic le | Mis à jour le
Lecture
6 min
  • Imprimer
Baromètre CESIN 2025 : ces signaux positifs que renvoient les RSSI
© Siarhei - Adobe Stock

Allouer du budget et des ressources à la cyber, un enjeu moins critique que par le passé ?

C'est une interprétation possible des données du CESIN. Plus précisément, des réponses à l'une des questions de la dernière vague de son baromètre annuel.

Il était demandé aux sondés quels étaient, selon eux, les "trois enjeux de demain pour l'avenir de la cybersécurité". Ils furent 35 % à mentionner l'item "Allouer davantage de budget, de ressources". C'est 5 points de moins que l'an dernier. Dans le même temps, le taux de mentions reste stable pour "Placer la gouvernance de la cybersécurité au bon niveau" (50 %) et augmente pour "Adapter les solutions et les processus de sécurité à la transformation numérique de l'entreprise" (55 % ; +3 points).

Des solutions qui satisfont de plus en plus

Pour Mylène Jarossay, "peut-être qu'on atteint un bon équilibre." La vice-présidente du CESIN en veut pour preuve un autre indicateur : le taux de satisfaction vis-à-vis des solutions. La progression d'une année à l'autre est effectivement généralisée :

>+2 points pour le MFA, les pare-feu et les passerelles de sécurité e-mail >+3 points pour les EDR, les WAF et le SWG >+6 points pour les VPN/ZTNA et les SIEM >+10 points pour les EPP et les scanners internes de vulnérabilités En parallèle, le zero trust, le VOC, le SASE, le CAASM, etc. "qu'on avait tendance à considérer comme des buzzwords [...], prennent", fait remarquer Alain Bouillé, délégué général du CESIN.


Davantage de confiance sur le recovery

De la confiance, les entreprises en expriment aussi davantage dans leur aptitude à gérer des attaques. Autant sur les moyens de détection (80 % ; +5 points) que ceux de prévention et de protection (78 % ; +2 points), ainsi que sur les capacités de réponse aux attaques (67 % ; +6 points)... et de reconstruction (60 % ; +9 points). "La partie recover était la moins bien dotée l'an dernier, souligne Mylène Jarossay. On voit un progrès. Ça explique peut-être pourquoi les attaquants comptent moins sur le chiffrement des données."

Le chiffrement par ransomware, moins prévalent

Un élément du baromètre illustre cette dernière affirmation : parmi les répondants ayant constaté au moins une attaque, la proportion de ceux qui déplorent le chiffrement de données par ransomware a nettement diminué (-9 points, à 9 %). Dans le même temps, la proportion de victimes d'attaques ayant constaté des vols de données a crû du même ordre (+11 points, à 42 %). Dans ce contexte, il est possible que l'attaquant "considère qu'il est [mieux] payé autour de la divulgation de la donnée qu'en créant un déni de service", analyse Mylène Jarossay.

Moins de crainte à l'égard du shadow IT...

Autre indicateur en baisse : le shadow IT. Ils ne sont plus que 23 % (-11 points) à le lister parmi les causes des incidents rencontrés. C'est moins que :

  • Cyberattaques opportunistes (38 % ; -1 point)
  • Défauts de configuration (29 % ; nouvel item)
  • Vulnérabilités résiduelles (29 % ; -5 points ; auparavant appelé "vulnérabilités résiduelles permanentes")
  • Défaut de gestion de comptes et/ou permissions (28 % ; nouvel item)

Parallèlement, ils sont moins nombreux (25 % ; -8 points) à considérer que le shadow IT présente un risque de niveau très élevé. "De même, les partages de données, qui étaient quand même un sacré caillou dans la chaussure des RSSI avec l'avènement de plates-formes comme Microsoft 365, sont désormais mieux gérés", glisse Alain Bouillé. Mylène Jarossay ajoute : "Soit parce que les utilisateurs comprennent mieux comment partager leurs données [...], soit parce qu'il y a eu des outils complémentaires qui ont aidé à mieux gérer ces partages. Peut-être les deux, d'ailleurs."

... et du cloud

Même phénomène d'évolution des perceptions au niveau du cloud. Ils ne sont, par exemple, plus que 31 % (-10 points) à considérer que la mauvaise visibilité de l'inventaire des ressources représente un risque fort. Dynamique comparable pour la non-maîtrise de la chaîne de sous-traitance de l'hébergeur (40 % ; -9 points) et la difficulté de contrôler les accès par des admins de l'hébergeur (36 % ; -7 points).

Les choses "se clarifient" en matière d'assurance cyber

Entre autres signaux qu'on peut percevoir comme positifs, la capacité à identifier les assets. 76 % des répondents estiment avoir une bonne visibilité. Et 57 % disent avoir clairement identifié leurs actifs critiques (c'est en projet chez 28 %).
Dans le même esprit les choses "se clarifient" sur l'assurance cyber, selon Alain Bouillé. Ceux qui ne renouvellent pas leur contrat ou hésitent à le faire "deviennent la minorité", affirme le délégué général du CESIN. "Après quelques années frénétiques, les primes d'assurance se sont vraiment régularisées, confirme Mylène Jarossay. C'est aussi parce que les assureurs n'ont pas eu de gros sinistres à rembourser", tempère-t-elle en écho au fait que 77 % des titulaires d'une assurance cyber n'y ont jamais fait appel.

Budgets : un verre à moitié plein

Parmi les motifs apparents de satisfaction figure aussi l'augmentation de la part des répondants qui déclarent que leur entreprise consacre plus de 5 % du budget IT à la cyber (+3 points, à 48 %). Sauf que les budgets globaux de l'IT sont parfois en diminution, concède Alain Bouillé. "On le voit chez nos membres : la crise est là pour tout le monde. Et il n'y a pas de raison que ça ne frappe pas dans la cyber." L'intéressé perçoit d'ailleurs d'autres "signes de tassement des moyens". Dont la nette baisse des taux de répondants affirmant qu'il est prévu d'augmenter les budgets alloués à la cyber (-15 points, à 45 %) et les effectifs (-7 points, à 45 %).

Mylène Jarossay rebondit quant à elle sur les politiques de gestion des tiers. "Aujourd'hui, on est [beaucoup] dans l'amont, dans la construction 'sur le papier'", lance-t-elle (85 % ont prévu des clauses de sécurité dans les contrats ; 74 %, des questionnaires de sécurité). "Quand on descend sur la mesure, les SLA, les KPI, il y a un peu moins de monde [60 %]. Encore moins sur l'audit [41 %]. Et puis, la surveillance des tiers [de leur surface d'attaque, NDLR], on la voit très peu [11 %]."

Illustration © Siarhei - Adobe Stock

Livres Blancs #cloud

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page